O que é DryRun?Especificação do DryRun com a API

Testar suas permissões

Para usar o AWS KMS, você deve ter credenciais que a AWS possa usar para autenticar suas solicitações de API. As credenciais devem incluir permissões para acessar chaves KMS e aliases. As permissões são determinadas pelas política de chave, políticas do IAM, concessões e controles de acesso entre contas. Além de controlar o acesso às chaves KMS, é possível controlar o acesso ao seu CloudHSM e aos seus repositórios de chaves personalizados.

É possível especificar o parâmetro da API DryRun para verificar se você tem as permissões necessárias para usar as chaves do AWS KMS. Também é possível usar DryRun para verificar se os parâmetros de solicitação em uma chamada de API do AWS KMS estão especificados corretamente.

Qual é o parâmetro DryRun?

DryRun é um parâmetro de API opcional que você especifica para verificar se as chamadas da API do AWS KMS serão bem-sucedidas. Use DryRun para testar sua chamada de API, antes de realmente fazer a chamada para o AWS KMS. É possível verificar o seguinte:

Que você tem as permissões necessárias para usar as chaves do AWS KMS.
Que você especificou os parâmetros na chamada corretamente.

AWS KMS oferece suporte ao uso do parâmetro DryRun em determinadas ações da API:

O uso do parâmetro DryRun incorrerá em cobranças e será cobrado como uma solicitação de API padrão. Para obter mais informações sobre os preços do AWS KMS, consulte Definição de preço do AWS Key Management Service.

Todas as solicitações de API que usam o parâmetro DryRun se aplicam à cota de solicitações da API e podem resultar em uma exceção de controle de utilização se você exceder a cota de solicitação da API. Por exemplo, chamar Decrypt com DryRun ou sem DryRun conta na mesma cota de operações criptográficas. Para saber mais, consulte Controle de utilização de solicitações do AWS KMS.

Toda chamada para uma operação de API do AWS KMS é capturada como um evento e gravada em um log do AWS CloudTrail. A saída de qualquer operação que especifique o parâmetro DryRun aparecerá no seu log do CloudTrail. Para ter mais informações, consulte Registrando AWS KMS API chamadas com AWS CloudTrail.

Especificação do DryRun com a API

Para usar DryRun, especifique o parâmetro —dry-run nos comandos AWS CLI e chamadas de API do AWS KMS compatíveis com o parâmetro. Ao fazer isso, o AWS KMS verificará se sua chamada será bem-sucedida. As chamadas do AWS KMS que usam DryRun sempre falharão e retornarão uma mensagem com informações sobre o motivo pelo qual a chamada falhou. A mensagem pode incluir as seguintes exceções:

DryRunOperationException ‐ A solicitação seria bem-sucedida se DryRun não estivesse especificada.
ValidationException ‐ A solicitação falhou devido à especificação de um parâmetro de API incorreto.
AccessDeniedException ‐ Você não tem permissões para realizar a ação de API especificada no recurso KMS.

Por exemplo, o comando a seguir usa a operação CreateGrant e cria uma concessão que permite que usuários que estão autorizados a assumir a função keyUserRole chamem a operação Decrypt em uma chave do KMS simétrica especificada. O parâmetro DryRun está especificado.


$  aws kms create-grant \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/keyUserRole \
    --operations Decrypt \
    --dry-run

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Contexto de criptografia

Solução de problemas de permissões do AWS KMS